Am 1. Februar ist Ändere-Dein-Passwort-Tag. Wir haben mit Frau Prof. Dr.-Ing. Marietta Spangenberg über Ihr Fachgebiet der Informationssicherheit geredet. Ein Gespräch über Passwörter, Hacker und die Bequemlichkeit der Deutschen.
Frau Prof. Dr. Spangenberg, sollten wir alle am 1. Februar unsere Passwörter ändern?
Nein, das macht nicht unbedingt Sinn. Aber man kann den heutigen Tag dafür nutzen, zumindest mal darüber nachzudenken, wie sicher die eigenen Passwörter sind. Und wenn man längere Zeit seine Passwörter nicht geändert hat, bietet es sich an, dass in den nächsten Tagen anzugehen. Vor allem, wenn man aktuell – wie 2 Milliarden andere – von dem großen Emailleak betroffen ist. Dann wird es höchste Zeit für ein sicheres Passwort.
Was macht ein sicheres Passwort aus?
Die Passwortlänge ist wichtig, es sollten mindestens acht Zeichen sein, eher mehr. Damit das Passwort auch wiederstandfähig gegen Attacken ist. Die verwendeten Zeichen sollten Klein- und Großbuchstaben enthalten, Ziffern und Sonderzeichen. Man sollte darauf achten, keine Begriffe aus dem nahen Umfeld zu nutzen, z.B. Kosenamen vom Partner oder Haustier. Man könnte sich einen Satz ausdenken, den man sich gut merken kann; dann nimmt man nur die Anfangsbuchstaben des Satzes, und ergänzt kleine Kniffe, ersetzt vielleicht ein b durch eine 8, o.ä.
Schützt mich ein gutes Passwort wirklich vor Hackerangriffen?
Es gibt natürlich noch mehr Möglichkeiten wie ein Angreifer zuschlagen kann. Aber ein gutes Passwort ist schon mal ein Punkt in der Verteidigungslinie. Hundertprozentigen Schutz gibt es nie.
Wie oft sollte ich meine Passwörter ändern? Da gibt es keine allgemeingültige Aussage. Wenn sie ahnen oder merken, dass jemand Zugriff auf Ihr Passwort oder eines Ihrer Konten haben könnte, dann sollten Sie sofort handeln. Viele Plattformen bieten auch automatisch eine Passwortänderung in regelmäßigen Abständen an, z.B. aller 72 Tage. Ständiges Ändern bringt nichts, das geht auch zu Lasten der sicheren Gestaltung des Passwortes.
Inwiefern? Wenn man immer nur ein bisschen was ändert, entstehen Schwesternpasswörter. Diese sind dem alten Passwort sehr ähnlich, unterscheiden sich nur in Kleinigkeiten, z.B. einem Buchstaben, einer Zahl, und können somit leicht geknackt werden.
Sollte man für jede Plattform ein anderes Passwort nutzen? Definitiv. Vor allem, wenn dieses Passwort auch mit Ihrem Emailkonto verbunden ist und damit mit Ihren persönlichsten Daten und wichtigsten Zugängen. Oft nutzt man sein Emailkonto um sich vergessene Passwörter zuschicken zu lassen: für Hacker ist es nun ein Leichtes an Ihre privaten Informationen wie Bankverbindung und PIN zu kommen, wenn sie einmal Ihr Passwort geknackt haben.
Wie kann man sich denn für jede Plattform auf der man angemeldet ist das entsprechende Passwort merken?Es gibt Managementsysteme für Passwörter. Sogenannte Passwortmanager. Dafür braucht man sich nur ein einziges Passwort, das Masterpasswort zu merken. Den Rest übernimmt das Programm. Würde der Computer oder das Handy gehackt, wäre alles sicher verschlüsselt.
Es steht also viel auf dem Spiel, wenn wir leichtfertig mit Passwörtern umgehen. Warum sind wir dann so einfallslos im Ausdenken von Passwörtern? Zu den beliebtesten Varianten gehören einfache Zahlenfolgen, wie 1234. Weil die Leute bequem sind, und den Wert ihrer Informationen nicht wertschätzen. Ein Passwort ist wie ein Schlüssel zu unseren ganz wichtigen und privaten Informationen. Und normalerweise passen wir ja schon auf unsere Schlüssel auf, einen Wohnungsschlüssel geben wir auch nichts sorglos weg. In der virtuellen Welt denken wir: ach, das sind nur Daten. Der Wert der Information ist den Leuten nicht so richtig bewusst.
Was ist die Zukunft des Passwortes? Gibt es irgendwann nur noch den Fingerabdruck?Das Passwort als solches wird uns noch eine Weile begleiten, denn die Biometrie bietet auch keine umfassende Sicherheit. Der Fingerabdruck ist ganz einfach manipulierbar. Beim iPhone wurde diese Funktion sofort gehackt. Auch die Gesichtserkennung ist nach kurzer Zeit kompromittiert worden. In Zukunft wird die Zwei-Faktor-Authentisierung mehr genutzt werden. Wahrscheinlich in einer Kombination aus Fingerabdruck und Passwort.
Prof. Dr.-Ing. Marietta Spangenberg von der Fakultät Elektrotechnik und Informatik lehrt seit 1992 an der HSZG. Ihre Fachgebiete sind Computernetze, Informationssicherheit, IT Sicherheitsmanagement und Datenschutz.
Das Gespräch führte Sophie Herwig
